Безопасность и риски в интернете и электронной коммерции
Министерство образования РФ
Сибирский
государственный университет
Реферат на тему:
«Безопасность и риски в интернете и электронной коммерции»
Выполнил: студент 1 курса Каменев В.П., группа ИЭ-261
Проверил: преподаватель Трофимов В.К
Новосибирск,2012
Введение
В Интернете есть диапазон различных источников риска, связанного с ведением дела. Некоторые из них – прямые последствия наличия веб-сайта вообще. Некоторые получаются из особенной сущности Вашего бизнеса, некоторые от формальности Вашего присутствия в сети. Еще один вид риска – другие риски, происходящие из действий Вашего штата. Важно признать, что не весь электронный бизнес, связанный с риском основывается электронным способом, даже когда имеется электронное проявление.
Изучение целей
При ведении
электронной коммерции
- Распознавать главные области риска, связанные с электронным бизнесом.
- Анализировать соответствующие роли системы и человеческие факторы, привлеченные в такие риски.
- Оценивать эффективность различных полных подходов к управлению электронным риском.
Масштаб воздействия
Часто цитируемый анализ трудностей Форреста, связанных с (глобальной) электронной коммерцией, определил восемь главных источников:
- внутренняя политика;
- глобальный/местный баланс;
- региональная координация;
- культурные различия;
- недостаточный сервис снабжения;
- переход от глобального к стратегии сети;
- глобальная логистика;
- сложность продукта.
Рис. 4.1. Сеть потенциальной уязвимости
Но интересно, проблема безопасности не вошла в этот список. Проблемы, относящиеся к стратегии, были отмечены как более важные факторы. Маловероятно, что подобный результат был бы получен, если бы такое исследование проводилось снова в наше время. Рост "спама", это свидетельство крупномасштабного финансового мошенничества, совершенного в Интернете, использование электронной почты преступными бандами – всё это и другое принесли проблемы безопасности ключевого момента для дальнейшего развития Интернета. Всё это требует некоторой меры контроля, который в свою очередь влияет на скорость и стоимость интернет-операций.
Рисунок 4.1 показывает диапазон возможных источников рисков и уязвимости для организации, проводящей часть своего бизнеса через Интернет.
В этой таблице мы видим упрощенную модель некоторых из ключевых элементов организации и операции ее электронного бизнеса. Можно увидеть, что даже упрощенная модель, это не простой вопрос – есть очень много возможных источников рисков и уязвимости к некоторому виду опасности. В каждом пункте интерфейса (показанный стрелками в таблице), есть возможность для некоторого рода разрушающих событий или процессов. Например, у организации могут быть спецификации и процедуры безопасности для программного обеспечения, которые устанавливаются ее специалистом по компьютерам, но не имеют системной защиты против установки несанкционированного программного обеспечения, или даже связи с техническим обеспечением в местных компьютерах или автоматизированных рабочих местах, расположенных в различных частях компании. Факт, что если некоторая часть программного обеспечения не санкционируется, то не означает, что это обязательно приведет к повреждению или потере любого вида, но это увеличивает риск. Например, у большинства организаций будут весьма сложные процедуры для того, чтобы проверить на вирусы и на связанные пакеты – так называемые вредоносное программное обеспечение, и чистить любые диски или другие источники, используемые для того, чтобы хранить программное обеспечение. Однако, во многих организациях культура может хорошо совмещаться с личностями, вводящими диски, содержащие несанкционированный материал, такие как то, что загружено от открытого веб-сайта, скопированного от друга, или даже от бесплатного компакт-диска, отданного с компьютерным журналом. Кроме очевидного потенциала заражения вредоносным программным обеспечением, есть дополнительная возможность, что установка части несанкционированного программного обеспечения может вовлечь включение или выключение некоторой особенности операционной системы, которая затем формирует существующее программное обеспечение неэффективным.
Модель воздействия на рисунке 4.1 указывает источники или потенциальные пункты уязвимости. Это может дать рост широкому диапазону различных типов слабости безопасности. Лаудон и Трэвер (2001) определяют шесть главных форм риска безопасности, связанного с электронной коммерцией:
- Целостность: Может ли содержание информации, полученной через Интернет, измениться некоторым образом неизвестной стороной?
- Отказ от оплаты: компания может послать что-либо, что заказывалось в Интернете, и обнаружить, что получатель отказывается платить, потому что утверждает, что этого никогда не получал; потенциально это можно объединить со сбоем целостности, позволяя кому-то другому, чем реальный клиент взять поставку товаров.
- Подлинность: человек или организация, с которой Вы общаетесь по сети, кем они являются?
- Конфиденциальность: Если я посылаю важную личную информацию другой стороне, могу я быть уверен, что никто больше не сможет получить доступ к ней пока она в пути?
- Частная жизнь: Если я посылаю важную личную информацию другой стороне, могу я быть уверен, что они будут использовать ее ответственно и использовать только в цели, для которой я ее обеспечил?
- Доступность: интернет-обслуживание компании, которое я ищу, является доступным тогда, когда мне это нужно или иногда оно не доступно?
В дальнейшем, мы будем называть потенциал воздействия повреждения; степень вероятности повреждения, уровень воздействия, и потенциальная трудность повреждения, степень воздействия. Мы можем различить на рисунке 4.1 выше, две взаимнопересекающихся категории источников риска:
- Внутренний к организации.
- Внешний, или через веб-сайт, электронную почту или другую сторону компьютерной системы, или через интернет-интерфейс, интернет-канал связи, или провайдер услуг интернета.
Мы пройдем оба из этих главных источников воздействия и определим и общий уровень, и степень, так же определим некоторые методы, которыми может быть минимизировано воздействие.
Внутреннее воздействие
Тематически,
во всех областях воздействия есть
человеческие и технические факторы.
Вообще говоря, человеческие факторы
являются самыми проблематичными, и
требуют более осторожного
Вредоносное программное обеспечение
Мы обычно слышим о вирусах, червях, троянских конях и других формах заражения программного обеспечения. Они – формы пакета программ, разработанного преднамеренно, чтобы создать некоторый эффект или проблему для получателя компьютерной системы – обычно его называют враждебным программным кодом, или коротко вредоносное программное обеспечение. Заражение вредоносным программным обеспечением – один из самых больших единственных источников воздействия для малых организаций (хотя, как мы увидим позже, другие угрозы могут быть более серьезными для действительно больших корпораций). Оно имеет и внутренний и внешний аспект к этому. Комментарии ниже сконцентрируются в начале на внутренних слабостях, которые могут привести к заражению, и затем посмотрят на внешний аспект.
Что такое вредоносное программное обеспечение?
Есть три главных вида враждебных программ:
Вирус: Это – самый известный термин, часто используемый обманчиво для всех подобных программ; вирус – программа, которая вообще поселит в файле (обычно, хотя не всегда, выполнимом файле или программе) копию себя, и распространит эти копии к другим файлам, по пути он может сделать что-то еще, такое как показ изображения, или переписать часть чьей-то операционной системы, или стереть данные сохраненные на жестком диске.
Червь: Он может сделать вещи подобные вирусу, но пока вирус распространится от файла к файлу внутри одного компьютера, червь будет путешествовать по сети; по этой причине вирусы могут так же, как часто распространяться через обмен дисками, как часто черви будут переданы через Интернет; обычно метод передачи червем – получение доступа к чьей-то адресной книге в программе электронной почты и затем посылающий себя во все адреса, которые там содержатся.
Троянский конь: Это – то, куда пакет программ активно не передается, но скрывается в пределах некоторого файла, который выглядит безопасным, и возможно, полезным пользователю (игра – общее средство передачи с этой целью), побуждая их открыть пораженный вирусом файл (отсюда название).
Уже появляется четвертая форма враждебного программного кода. Много веб-страниц используют апплеты (маленькие программы, которые добавляют различные формы функциональных возможностей к ним, те, которые выскакивают на экране, или события связанные с движением мыши; они часто пишутся в Java или языки JavaScript).
Отношение с вредоносным программным обеспечением
Почти у
всех главных организаций есть более
или менее тщательно
Но когда каждый добавляет к этому факт, что большое количество компаний почти в каждой стране мира – малые предприятия, зарабатывающие скромную прибыль, тогда потенциальный масштаб всемирного воздействия становится огромным.
Важно напомнить в этом контексте аналогию с человеческим заражением: чем больше людей с гриппом, тем больше шанс у вас заразиться им. Кроме очень смертельного заражения, небольшой контакт только с одним человеком несет гораздо низкий уровень воздействия, чем длительный контакт или контакт со многими зараженными людьми. Подобным образом, если у одного ПК где-нибудь есть заражение, которое основывается на вредоносном программном обеспечении, то вероятно, что она будет передана к некоторым другим. Если у них всех есть некоторая форма защиты тогда, скорость передачи значительно уменьшается. Если они – все малые предприятия с устаревшей базой или без защиты, то скорость передачи сильно увеличится, в некоторых случаях к скорости миллионов в час.
Тогда, относительно низкие уровни человека или защиты SME против так называемого вредоносного программного обеспечения – серьезный фактор компромисса в интернете и в безопасности электронного бизнеса. Торговая компания, например, может быть хорошо защищена, но ключевой вопрос – как хорошо защищены их клиенты или их покупатели.
Многие из основных трудностей вредоносного заражения касаются не столько технических особенностей защиты, столько целостности и законченности защитной методологии или управления технологией. Самые общие методы защиты – (a) коммерческое антивирусное программное обеспечение, такое как McAfee или Norton (b) установка брандмауэра, где фильтрация программного обеспечения устанавливается в точках входа, связанных с системами Интернета. Однако у обоих подходов есть недостатки.
Одним недостатком
коммерческого антивирусного
Но коммерческое антивирусное программное обеспечение, являющееся устаревшим, не является причиной обходиться без них. После того, как пакет был определен и решение или защита, найдены для него, появляются блоки узлов Всемирной Паутины, которые не извлекли урока из этого решения, и будут индивидуальные персональные компьютеры, у которых есть заражение, находящаяся на их жестких дисках и передающая ее – иногда неизвестный владельцу – в течение многих месяцев или даже последующих лет. Снова, это отражает роль человеческих векторов в распространении и борьбой с заражением – после того, как лечение, возможно, было найдено, и большинство населения защищены против заражения, там останутся только индивидуальные носильщики в менее исследованных областях.
Связанный недостаток состоит в том, что эти виды защит имеют только ограниченную передовую ценность. Вообще, они предотвратят существующий пакет, входящий в систему, и часто также защитят против новой формы вредоносного программного обеспечения основанного на существующей стратегии. Если особенный вид заражения был определен (речь идет о том, что активизированный червь посылает по электронной почте копию каждых из электронных писем пользователя к нераскрытому местоположению), то шаги могут быть сделаны, чтобы иметь дело с этим и с другими подобными программами, которые могли бы получить вход в систему через тот же самый вид процесса, и сделать подобные вещи с адресной книгой. Так, как только система защиты определилась в отношении против программы, которая посылает изображение во всю Вашу адресную книгу, тогда это будет иметь дело с любым, который посылает текстовый файл, или также сообщение электронной почты.
Но, как упомянуто выше, изобретательность разработчиков вредоносного программного обеспечения (см. позже в этой главе) по крайней мере, столь же высока как тот из защитников вредоносного программного обеспечения, таким образом, в движении есть непрерывное схватывание процесса, оставляющее большинство пользователей, уязвимыми в течение определенного промежутка времени, пока современная защита не установлена.
Этот последний пункт подчеркивает другой, нетехнический – слабость о защите программного обеспечения. Это хорошо только тогда когда люди, которые активизируют и обновляют ее. Большинство коммерческих поставщиков антивирусного программного обеспечения обеспечивают регулярные он-лайн обновления, но они все еще должны быть определенно предписаны пользователем. Даже в больших корпорациях, где есть значительно высокая осведомленность этого вида воздействия, может произойти случай, когда индивидуальные пользователи автоматизированных рабочих мест или ПК не в состоянии использовать в своих интересах обновление услуг, которые могут быть обеспечены центрально. Если есть недостаточное корпоративное связывание к электронной защите, то возможно сотрудники не знают степень или уровень воздействия, который может создать случайная деятельность безопасности.
Параллельная
слабость – это, что, если у сотрудников
нет относительно острого понимания
воздействия вообще, они, вероятно,
будут легкомысленными или
С другой стороны, не смотря на строгие правила – это одно, а истинное понимание обязательства от штата – другое. Если люди будут знать, что организация серьезно понесла убыток, только из-за их якобы "безвредного" использования диска, то они, вероятно, будут более бдительны, чем если бы не было такой уверенности. Если, с другой стороны, они будут уверены в безнаказанности, то рано или поздно они будут думать "Один раз не повредит", и таким образом целостность системы будет нарушена. Со всеми этими рисками и их предотвращением, это зачастую в меньшей степени способность полностью устранить риск, так как существенное сокращение вероятности воздействия превратится в фактическое повреждение.
Установка брандмауэра – как правило, очень сильная защита. Но у него также есть немного недостатков. Кроме того, есть исторический элемент – Вы можете только защитить себя против того, как ты думаешь, что кто-то "оттуда" уже разработал или рассматривает возможности применения. Так, по определению, не существует защиты от потенциальных атак, о которых не подозревают.
Более важно то, что установка брандмауэров склоняется к общей природе. Как правило, брандмауэр может фильтровать каждую электронную почту или иметь доступ к веб-странице и показывать на экране их для содержания или приложений, препятствуя пользователю получить доступ к чему-либо, для чего создатели брандмауэра полагали создать недопустимое воздействие. Некоторые из результатов действий установки брандмауэра могут быть абсурдными – например, брандмауэр, который предназначен, чтобы защищать не только против зараженных приложений файла, но также и не отображать несоответствующее содержание (такое как ругательства, потенциальные террористические коммуникации, или порнография), может препятствовать передаче законных сообщений. Один смешной пример того, кто заказал себе книгу он-лайн, но при использовании их рабочего ПК сообщение подтверждения остановилось в брандмауэре, так как название книги было «Моя задница выглядит большой в этом?» – популярный роман в Великобритании в 2000; это объяснялось тем, что "задница" была в списке слов, которые соответствовали потенциальному порнографическому содержанию.
Другой механизм, который выполняет подобную роль на брандмауэре является сервером по доверенности. Это – сервер, который стоит в пункте интерфейса или шлюза между системой организации и открытой сетью. Поэтому он может управлять подобными процессами фильтрования аналогично методологиям брандмауэра, но он имеет тенденцию работать в противоположном направлении. Брандмауэр пытается предотвратить нежелательный вход к данным, пока сервер по доверенности пытается препятствовать внутренним пользователям вводить нежелательный материал.
Брандмауэры и серверы по доверенности вообще замедляют уровень передачи. Некоторые брандмауэры – например, из числа тех, которые установлены на правительственных серверах электронной почты – просто, избегают этой проблемы, запрещая передачу вообще любого прикрепленного файла определенного типа. Это усиливает безопасность за счет утраты одного из ключевых эффектов электронной почты.
Когда с потенциальным воздействием коммерческого антивирусного программного обеспечения, не всесторонне принимаемого по организации, у брандмауэра есть потенциальная лазейка – то есть, части полной местной сети, которые работают без защиты брандмауэра, но все еще взаимодействуют с остальной частью сети. Это может случиться по многим причинам. Возможно, система была модернизирована постепенно к пункту, где полагается (по ошибке), что все автоматизированные рабочие места находятся на особенной системе или имеют данный набор параметров настройки, и затем брандмауэр внедряется в механизм в силу тех параметров настройки или систем. Но индивидуальное автоматизированное рабочее место, возможно, было пропущено, индивидуальный пользователь, возможно, не сделал все, что было необходимо, чтобы вызвать модернизацию, или могла быть техническая ошибка, где центральная электронная запись для автоматизированных рабочих мест разрушена или недостаточна некоторым другим способом, так сказать, оставляет некоторые машины "вне списка".
Дальнейшая трудность со всеми методами внутренней защиты – это "внутренняя сеть", которая не совсем самостоятельна. Устойчивый рост людей, работающих дома или далеко от офиса, подразумевает, что люди используют ноутбуки и ПК, которые могут соединиться с местной сетью промежуточно, как посредник (например, через электронную почту посредством провайдера услуг интернета третьего лица, такой как MSN или AOL) или косвенно (через работу, сохраненную на диске или переносном устройстве и затем загруженный позднее в машину рабочего места). Зачастую происходит так, что хороший брандмауэр сети предотвращает ввод основных пунктов вредоносного программного обеспечения, потому, что ноутбуки штата не так хорошо защищены. Все же дальнейшая проблема здесь состоит в том, что, работая в офисе, кто-то может использовать телефонную линию, которая стоит вне общей сети. Для более старших менеджеров характерно иметь линию, которая отдельна от главного распределительного щита, который используется для высоко конфиденциальных звонков. Расширение "аэропорта" и других удаленных устройств модема означает, что менеджер мог использовать эту линию, чтобы получить доступ к Интернету полностью независимо от технологий установки брандмауэра организации, создавая воздействие, которое может позднее способствовать внедрению пакетов вредоносного программного обеспечения в главную систему.
Короче
говоря, заражение вредоносным
Хотя основная слабая связь – это отсутствие понимания пользователями важности защиты против этого типа воздействия, мы вернемся к этой теме позже.
Защита личных данных
Много корпоративных систем будут содержать много личной информации, о клиентах и о штате. Во многих странах есть существенное законодательство, требующее, чтобы сохраненные данные использовались только определенными способами, и что это не общедоступно. Кроме законодательного требования, это – несомненно, хороший способ не допускать, чтобы все до одного видели дисциплинарные отчеты членов штата, например, или иметь частные адреса клиентов, открытых для общественного просмотра.
Стандартный
способ защитить эту информацию –
защита паролем файлов или серверов.
Большинство корпоративных
Обычно имеются три постоянных проблемы с паролями (эти комментарии применяются также к использованию паролей как внешний метод защиты):
- Люди плохо запоминают пароли, таким образом, им предоставляется выбор. Они часто выбирают что-то запоминающееся для них, например, имя их любимого хомяка, или их даты рождения. Тот, кто знает немного о человеке, мог бы тогда иметь прекрасный шанс попытаться отгадать их пароль.
- Когда пароли установлены центрально, или система устанавливает параметры на отборе пароля (такие как запрет легко опознаваемых слов, или требование, чтобы включать числовые элементы, так же как и алфавитные данные в пароль), тогда для среднего пользователя становится трудным запомнить его. У большинства людей, использующих компьютерные системы, вероятно, имеются множественные пароли, чтобы помнить (такие как электронный магазин или интернет-семинары, пин-коды банковских карт, наборы данных распознавания ISP). Объем информации безопасности, которую, вероятно, придется помнить потребителю, создает большое искушение записать их. Чтобы сделать это для служащего компании, необходимо создать новую форму воздействия, основанного на риске, что записанный пароль замечен посторонним человеком.
- Пароли должны регулярно анализироваться, чтобы остаться безопасными. Хакеры используют программы, которые не только формируют огромные числа случайных символьных строк, которые могут действовать как пароли, но так же попытаться использовать их для входа в безопасную сеть. Чем дольше особенная последовательность сохраняется, тем больше вероятность того, что он будет взломан одной из таких программ и использоваться для входа. Кроме того, чем дольше пароль используется, тем больше шанс, что кто-то еще может узнать его. К сожалению, чем чаще пароли изменяются, тем больше вероятность того, что люди захотят записать их, чтобы помнить.
Также, есть краткосрочные проблемы с защищённым паролем входом в совокупность данных. Люди могут иметь данные на экране и быть вызваны внезапно на встречу, оставляя "безопасную" информацию видимой для тех, кто проходит мимо их стола. Даже если кто-то сидит за столом, с открытыми схемами офиса, то мимо идущий посторонний человек может мельком увидеть их. Так же существует риск того, что кто-то ненамеренно может увидеть информацию, или увидеть кое-что деликатное, но не значительное, и поэтому создается дополнительное воздействие на организацию.
Конечно,
каждое новое развитие в технологии
увеличивает потенциальные

- Безопасность и человеческий фактор
- Безопасность и человеческий фактор
- Безопасность и экологичность в кислородно-конвертерном цехе ОАО «ММК»
- Безопасность и экологичность гидроэнергетики
- Безопасность и экологичность проекта
- Безопасность и экологичность проекта
- Безопасность и экологичность проекта
- Безопасность и комфортность при работе с ПК
- Безопасность и нормы труда на предприятии
- Безопасность и нормы труда на предприятии
- Безопасность информационных систем
- Безопасность информационных технологий
- Безопасность и охрана труда в российской экономике
- Безопасность и охрана труда при производстве аммиака